Použitie pevných kódovaných šifrovacích kľúčov v aplikáciách spoločnosti DeepSeek predstavuje niekoľko významných rizík pre bezpečnosť a súkromie používateľov. Tu sú niektoré z potenciálnych rizík spojených s touto praxou:
1. Expozícia a odpočúvanie údajov: Hardcódované šifrovacie kľúče je možné ľahko extrahovať zo zdrojového kódu aplikácie, čo umožňuje neoprávnenému stranám prístup a dešifrovanie citlivých údajov. Toto sa týka najmä DeepSeek, pretože zhromažďuje rozsiahle údaje o používateľoch a zariadeniach vrátane vzorov stlačenia klávesov, ktoré sa prenášajú na servery v Číne [1] [3] [4]. Použitie zastaraných šifrovacích algoritmov, ako je 3DES, ďalej zhoršuje túto zraniteľnosť, pretože tieto algoritmy sú známe, že sú neisté [1] [3] [9].
2. Nedostatok rotácie kľúčov: Keď sú vystavené tvrdé kľúče, nemožno ich ľahko zmeniť. To znamená, že aj keď sa zistí zraniteľnosť, kľúče zostávajú ohrozené, kým sa aplikácia neaktualizuje, čo môže trvať čas. Táto neschopnosť otáčať kľúče rýchlo zvyšuje okno zraniteľnosti porušenia údajov [2] [8].
3. Riziká injekcie a databázy SQL: Aplikácie DeepSeek tiež čelia rizikám vstrekovania SQL, ktoré môžu útočníkom umožniť manipulovať s databázovými dopytmi. V kombinácii s tvrdými šifrovacími klávesmi by to mohlo umožniť útočníkom prístup a dešifrovať citlivé záznamy používateľov uložených v databáze [1] [4] [7].
4. Obavy národnej bezpečnosti a zvrchovanosti údajov: Prenos údajov používateľov na servery spojené s čínskymi štátnymi subjektmi vyvoláva obavy týkajúce sa suverenity údajov a národnej bezpečnosti. Zapojenie spoločnosti Bytedance, materská spoločnosť Tiktok, ďalej komplikuje tieto problémy v dôsledku postupov správy údajov Číny, ktoré môžu zahŕňať bez záruky dohľadu [1] [3] [7].
5. Neisté ukladanie údajov: Postupy neistej ukladania spoločnosti DeepSeek, vrátane neisté ukladanie používateľských mien, hesiel a šifrovacích kľúčov, zvyšujú riziko krádeže poverenia. To môže viesť k neoprávnenému prístupu k používateľským účtom a ďalej ohroziť citlivé informácie [3] [10].
6. Profilovanie správania: Zbierka dynamiky stlačenia klávesov a ďalšie údaje o správaní používateľov sa dá použiť na vytváranie podrobných profilov používateľov. To vyvoláva obavy o ochranu osobných údajov, najmä ak sa takéto údaje prenášajú na entity, ktoré ich môžu používať na účely sledovania alebo dohľadu [1] [4].
Stručne povedané, použitie pevných kódovacích kľúčov v aplikáciách DeepSeek výrazne zvyšuje riziko porušenia údajov, neoprávneného prístupu a porušenia súkromia. Tieto riziká sú znásobené rozsiahlymi postupmi zberu údajov APP a jej prepojeniami s entitami s potenciálnymi dôsledkami národnej bezpečnosti.
Citácie:
[1] https://ssejet.com/blog/security-and-privacy-redepseeks-android-app-apts-from-experts/
[2] https://www.ubiqsecurity.com/explordloring-cwe-321-use-f-hard-coded-cryptographic-key%EF%BF%BC/%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new--sks-in-deepseek-ai-App-App-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-useekseek/
[7] https://securityscorecard.com/blog/adeep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnability-classes/hard-coded-secrets
[9] https://krebonsecurity.com/2025/02/experts-flag-security-privacy-reps-indeepseek-aip/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-untoves-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/